香港电讯商遭黑客入侵盗取38万客户资料

香港宽频在星期一发现遭到黑客入侵，但到了星期三才透过公关公司发新闻稿披露，立法会资讯科技界议员莫乃光认为情况严重，香港宽频要交代为何要保存旧有客户的资料库这么久，现阶段应尽快通知受影响客户，避免信用卡资料被盗用招致损失。

去年3月选举事务处遗失全港逾378万选民资料的手提电脑，今次香港宽频被入侵，是香港私营机构历来最大宗资料外泄事件。香港宽频指现正努力透过电邮、短讯及发信通知受影响客户，相信一、两日内会完成；至于未能联络上的客户，公司准备联络银行协助通知相关客户。

香港宽频18日公布，本周一发现一宗未经授权接触其一个已停用客户资料库事件。据了解，资料库包含香港宽频截至2012年约38万固定及IDD服务客户及服务申请人纪录，相信当中包括现有及前客户，约占其360万客户纪录的11%。当中涉及的资料包括姓名、电邮地址、通讯地址、电话号码、身份证号码及约4.3万张信用卡资料。

香港宽频发言人回覆本报查询时表示，公司内外网络安全顾问均认为黑客采用的并非普通技术，公司被超前技术入侵。香港资讯科技商会荣誉会长方保侨指，一般都会认为电讯商的网络保安一定做到最高级，故所谓的“超前技术”，即是指比电讯商现有保安更厉害的技术。

涉事伺服器位于香港宽频葵涌的数据中心，该公司指已采取措施防止日后任何类似攻击，相信此为独立事件，不会对其业务及营运造成任何重大影响。集团随即进行内部调查，并聘请外部网络安全顾问全面检查所有系统及伺服器。事发后，该公司周二向警务处报告事件及通知私隐专员。发言人补充，至今未有黑客与公司接触，未知何时被盗资料及入侵原因。

香港今年1月初曾发生两宗旅行社遭黑客入侵再被勒索事件，大航假期及金怡假期报称被黑客入侵网上系统盗取大量客户资料，并遭对方勒索1元比特币（当时巿值约12.2万港元）以赎回被盗资料。警方网络安全及科技罪案调查科接手跟进，事隔3日拘捕一名30岁黑客。

个人资料私隐专员黄继儿表示，已收到香港宽频通报，对事件表示关注。他表示公私营机构必须按《个人资料（私隐）条例》规定妥善储存客户个人资料，并采取切实可行步骤，保障个人资料不会未经授权地丧失或使用，否则便有可能违反条例下的资料保安原则。

涉事资料库已停用6年

莫乃光指，现阶段难以评论香港宽频在电脑保安上是否有疏忽，因黑客入侵企业盗取个人资料已成为世界潮流，出现道高一尺魔高一丈的情况，相信黑客入侵事件将会继续发生。但他认为，从香港宽频公布的资料，涉及的是2012年已停用的客户资料库，即至今已停用6年，香港宽频长时间保留已停用资料是否合理，有否违反私隐条例，私隐署应该调查。香港宽频发言人称，一般保存旧客户资料7年。

根据私隐条例，负责处理个人资料的机构须遵守多项保障资料原则，违反原则并不直接构成刑事罪行，惟私隐专员可发出执行通知，指令违反的机构采取补救措施。若机构不遵守执行通知属于刑事罪行，一经定罪，可被判处最高罚款港币5万元及监禁两年。

另外，香港宽频位于世和中心的数据中心昨午4时一度停电，为数据中心首次。发言人确认事件，指有供电组件故障，停电13分钟后恢复正常，相信与黑客入侵无关。